0 Пользователей и 1 Гость просматривают эту тему.
  • 16 Ответов
  • 658 Просмотров
*

Mnojitell

  • Захожу иногда
  • 107
  • 1 / 0
Здравствуйте уважаемые форумчане!
Недавно случайно обнаружил (сообщил один из пользователей), что при заходе на сайт с мобильных устройств посетители перенаправляются на адульт сайт с платным контентом. Проштудировав файлы обнаружил вредоносный скрипт:
Спойлер
[свернуть]
Удалил, сменил все пароли, но при проверке оказывается, что вирус появляется в файле домен/includes/defines.php снова. Подскажите пожалуйста, как с этим бороться и где может находится программа, которая вновь прописывает скрип в указанный файл.
 
Чем дальше в лес, тем больше дров!
*

voland

  • Легенда
  • 10064
  • 553 / 107
  • Эта строка съедает место на вашем мониторе
Вычистить аккаунт полностью.
Закрыть уязвимости.

Или воспользоваться платными услугами
*

Mnojitell

  • Захожу иногда
  • 107
  • 1 / 0
В каком смысле вычистить аккаунт полностью? То есть что предполагается сделать? 
Чем дальше в лес, тем больше дров!
*

voland

  • Легенда
  • 10064
  • 553 / 107
  • Эта строка съедает место на вашем мониторе
Удалить шеллы из всех мест
*

Mnojitell

  • Захожу иногда
  • 107
  • 1 / 0
А что такое шеллы?
Чем дальше в лес, тем больше дров!
*

AlekVolsk

  • Гуру
  • 6544
  • 380 / 4
Mnojitell, вас сайт заражен вирусами, требуется чистка и лечение, попробуйте бесплатные средства, например сканер ai-bolit, который подскажет, где что чистить, либо обратитесь в коммерческий раздел, процедура стОит от 1к до 10к деревянными (PS: не заинтересован в данном потенциальном заказе).
*

ProtectYourSite

  • Завсегдатай
  • 1736
  • 97 / 4
  • Безопасность вебсайтов
Значит если сайт не один на аккаунте, то надо  вычистить от вирусов все сайты, если они не изолированы.
*

draff

  • Живу я здесь
  • 3530
  • 228 / 6
  • Ищу работу
Подскажите пожалуйста, как с этим бороться
Джумла обновлять вовремя, особенно когда выпускают релиз безопасности.
Удалю вирус с сайта. Обновление Joomla!, JoomShopping, Virtuemart -> Коммерческий раздел     |    Отзывы
Создам плагин , модуль под заказ для VirtueMart , JoomShopping
*

Mnojitell

  • Захожу иногда
  • 107
  • 1 / 0
Несмотря на то, что обновлялся всегда вовремя, в систему каким-то образом были внедрены два вредоносных скрипта.
Скачал все файлы на комп и произвёл поиск по фрагменту скрипта перенаправления «Smarty3» в программе Notepad++.
Обнаружил следующие скрипты в директориях домен/modules/mod_articles_category/tmpl и домен/language/en-GB, идущие сразу друг за другом:
1. Smarty.php
Спойлер
[свернуть]
2. AJAX.api.php
Спойлер
[свернуть]
Чем дальше в лес, тем больше дров!
*

Mnojitell

  • Захожу иногда
  • 107
  • 1 / 0
Теперь остаётся выяснить главное — как они туда попали.
Чем дальше в лес, тем больше дров!
*

wishlight

  • Живу я здесь
  • 4270
  • 257 / 1
  • 300 руб очень быстрый хостинг в ЕС
А какая у вас версия джумла? Что установлено, сколько сайтов на аккаунтах?
*

draff

  • Живу я здесь
  • 3530
  • 228 / 6
  • Ищу работу
Советую еще поискать по маске, начало в скрипте 2. AJAX.api.php
Код
<?php ${"\x47
Удалю вирус с сайта. Обновление Joomla!, JoomShopping, Virtuemart -> Коммерческий раздел     |    Отзывы
Создам плагин , модуль под заказ для VirtueMart , JoomShopping
*

Mnojitell

  • Захожу иногда
  • 107
  • 1 / 0
Сделал по совету draff проверку по маске и нашёл ещё один скрип Smarty.php со списком IP адресов компаний МТС, Мегафон, Билайн, Теле 2, стран Белоруссии, Украины, Азербайджана, Казахстана на которые, по всей видимости выборочно, и была направлена данная пакость.

Название файла «readme»
Спойлер
[свернуть]
На всякий пожарный сделаю поиск по другим кускам кода. Вдруг ещё что-нибудь отыщется. 
« Последнее редактирование: 20.11.2017, 14:37:12 от Mnojitell »
Чем дальше в лес, тем больше дров!
*

Mnojitell

  • Захожу иногда
  • 107
  • 1 / 0
Вот сервис комплексной онлайн проверки сайта на редиректы и на вирусы: https://rescan.pro./go.php
Чем дальше в лес, тем больше дров!
*

Mnojitell

  • Захожу иногда
  • 107
  • 1 / 0
С помощью программы АЙБОЛИТ обнаружил ещё один редирект, прописанный по адресу домен/modules/mod_finder/tmpl/tmpl.php:
Спойлер
[свернуть]
Кто-нибудь знает какое расширение джумла недавно взламывалось или ещё какие-нибудь уязвимости?
Чем дальше в лес, тем больше дров!
*

voland

  • Легенда
  • 10064
  • 553 / 107
  • Эта строка съедает место на вашем мониторе
Да. Только это не гадается, а смотрится из того что установлено
*

AlekVolsk

  • Гуру
  • 6544
  • 380 / 4
такая статистика вряд ли ведется, и не факт, что это именно J или ее расширения были взломаны, иногда прилетает изнутри сервака, если ссайты не изолированы друг от друга

накатите дистрибутив J через фтп поверх, затем все установленные сторонние расширения установите поверх штатным способом, затем сравните файлы и папки движка и расширений на предмет наличия лишних файлов
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Найти где "плывёт" ширина на мобильных

Автор ingavr

Ответов: 2
Просмотров: 175
Последний ответ 03.11.2018, 13:38:49
от ingavr
Перестало работать Перенаправление URL и Добавлять суффикс к URL

Автор Gosha5767

Ответов: 3
Просмотров: 245
Последний ответ 04.02.2018, 23:18:29
от Gosha5767
Перенаправление после редактирования профиля К2

Автор Constalgo

Ответов: 1
Просмотров: 515
Последний ответ 31.12.2017, 17:14:15
от Constalgo
Перенаправление URL не работает при переходе на PHP 7

Автор M@G

Ответов: 5
Просмотров: 733
Последний ответ 01.11.2017, 14:55:07
от M@G
Перестало работать перенаправление Joomla 3.8.1

Автор Masha0701

Ответов: 0
Просмотров: 343
Последний ответ 13.10.2017, 16:52:30
от Masha0701